Dengan berkembang pesatnya ekosistem on-chain, transaksi on-chain telah menjadi bagian penting dari operasi sehari-hari pengguna Web3. Aset pengguna sedang berpindah dari platform terpusat ke jaringan terdesentralisasi dengan cepat, dan tren ini juga berarti bahwa tanggung jawab keamanan aset berpindah dari platform ke pengguna itu sendiri. Dalam lingkungan on-chain, pengguna perlu bertanggung jawab atas setiap langkah interaksi, termasuk mengimpor dompet, mengakses DApp, tanda tangan otorisasi, dan memulai transaksi. Setiap operasi yang tidak hati-hati bisa menjadi risiko keamanan, yang dapat menyebabkan kebocoran kunci pribadi, penyalahgunaan otorisasi, atau serangan phishing dan konsekuensi serius lainnya.
Meskipun plugin dompet mainstream dan browser secara bertahap mengintegrasikan fungsi identifikasi phishing dan peringatan risiko, tetapi menghadapi metode serangan yang semakin kompleks, mengandalkan pertahanan pasif dari alat masih sulit untuk sepenuhnya menghindari risiko. Untuk membantu pengguna lebih jelas mengidentifikasi potensi titik risiko dalam transaksi di blockchain, kami berdasarkan pengalaman praktis, menyusun skenario risiko tinggi yang sering terjadi di seluruh proses, dan menggabungkan saran perlindungan dengan keterampilan penggunaan alat, kami merumuskan panduan keamanan transaksi di blockchain yang sistematis, bertujuan untuk membantu setiap pengguna Web3 membangun garis pertahanan yang "dapat dikendalikan sendiri".
Prinsip inti perdagangan yang aman:
Tolak tanda tangan buta: Jangan tanda tangan untuk transaksi atau pesan yang tidak Anda pahami.
Verifikasi berulang: Sebelum melakukan transaksi apa pun, pastikan untuk memverifikasi akurasi informasi terkait beberapa kali.
Saran Perdagangan Aman
Transaksi yang aman adalah kunci untuk melindungi aset digital. Penelitian menunjukkan bahwa menggunakan dompet yang aman dan verifikasi dua langkah (2FA) dapat secara signifikan mengurangi risiko. Berikut adalah saran spesifik:
Gunakan dompet yang aman:
Pilih penyedia dompet yang memiliki reputasi baik, seperti dompet perangkat keras atau dompet perangkat lunak terkenal. Dompet perangkat keras memberikan penyimpanan offline, mengurangi risiko serangan online, dan cocok untuk menyimpan aset dalam jumlah besar.
Periksa kembali detail transaksi:
Sebelum mengonfirmasi transaksi, selalu verifikasi alamat penerima, jumlah, dan jaringan untuk menghindari kerugian akibat kesalahan input.
Aktifkan verifikasi dua langkah (2FA):
Jika platform perdagangan atau dompet mendukung 2FA, pastikan untuk mengaktifkannya untuk meningkatkan keamanan akun, terutama saat menggunakan dompet panas.
Hindari menggunakan Wi-Fi publik:
Jangan melakukan transaksi di jaringan Wi-Fi publik untuk mencegah serangan phishing dan serangan man-in-the-middle.
Proses Perdagangan Aman
Proses transaksi DApp yang lengkap terdiri dari beberapa tahapan: instalasi dompet, mengakses DApp, menghubungkan dompet, penandatanganan pesan, penandatanganan transaksi, dan pemrosesan setelah transaksi. Setiap tahapan memiliki risiko keamanan tertentu, berikut akan dijelaskan secara berurutan hal-hal yang perlu diperhatikan dalam praktik.
1. Instal dompet
Saat ini, cara penggunaan DApp yang dominan adalah melalui dompet plugin browser. Saat menginstal dompet plugin Chrome, perlu memastikan untuk mengunduh dan menginstal dari toko aplikasi resmi, untuk menghindari instalasi dari situs pihak ketiga, guna mencegah pemasangan perangkat lunak dompet yang memiliki backdoor. Pengguna yang memiliki kondisi disarankan untuk menggunakan dompet perangkat keras secara bersamaan, untuk lebih meningkatkan keamanan keseluruhan dalam pengelolaan kunci pribadi.
Saat memasang frasa pemulihan kata sandi dompet (biasanya frasa pemulihan yang terdiri dari 12-24 kata), disarankan untuk menyimpannya di tempat offline yang aman, seperti menuliskannya di kertas dan menyimpannya di brankas.
2. Akses DApp
Phishing web adalah metode umum dalam serangan Web3. Kasus tipikal adalah mengajak pengguna mengunjungi aplikasi DApp phishing dengan dalih airdrop, dan setelah pengguna menghubungkan dompetnya, mereka akan dipaksa untuk menandatangani otorisasi token, transaksi transfer, atau tanda tangan otorisasi token, yang mengakibatkan kehilangan aset.
Sebelum mengakses DApp, pastikan keakuratan URL. Saran:
Hindari mengakses langsung melalui mesin pencari
Hindari mengklik tautan di media sosial
Periksa kembali keakuratan URL DApp
Tambahkan situs web yang aman ke favorit browser
Setelah membuka halaman DApp, perlu juga melakukan pemeriksaan keamanan pada bilah alamat:
Periksa apakah nama domain dan URL mirip dengan yang palsu.
Periksa apakah itu tautan HTTPS, browser harus menampilkan ikon kunci
3. Hubungkan dompet
Setelah masuk ke DApp, koneksi dompet mungkin akan dipicu secara otomatis atau setelah mengklik Connect. Dompet plugin akan melakukan beberapa pemeriksaan dan menampilkan informasi terkait DApp saat ini.
Jika situs web sering meminta dompet untuk menandatangani pesan atau menandatangani transaksi setelah login, bahkan terus-menerus muncul untuk meminta tanda tangan setelah menolak, maka kemungkinan besar itu adalah situs phishing, perlu ditangani dengan hati-hati.
4. Tanda Tangan Pesan
Dalam situasi ekstrem, seperti ketika penyerang menyerang situs resmi protokol atau mengganti konten halaman melalui serangan seperti peretasan frontend, sulit bagi pengguna biasa untuk menilai keamanan situs web dalam skenario ini.
Pada saat ini, tanda tangan dompet plugin adalah garis pertahanan terakhir bagi pengguna untuk melindungi aset mereka. Selama mereka menolak tanda tangan jahat, mereka dapat memastikan aset mereka tidak mengalami kerugian. Pengguna harus memeriksa dengan cermat konten tanda tangan saat menandatangani pesan dan transaksi apa pun, dan menolak tanda tangan buta.
5. Tanda tangan transaksi
Tanda tangan transaksi digunakan untuk mengotorisasi transaksi blockchain, seperti transfer atau pemanggilan kontrak pintar. Pengguna menandatangani dengan kunci privat, jaringan memverifikasi keabsahan transaksi. Saran keamanan:
Periksa dengan cermat alamat penerima, jumlah, dan jaringan untuk menghindari kesalahan
Transaksi besar disarankan untuk tanda tangan offline, mengurangi risiko serangan online
Untuk pengguna yang memiliki cadangan teknis tertentu, mereka juga dapat menggunakan beberapa metode pemeriksaan manual yang umum: dengan menyalin alamat kontrak target interaksi ke dalam penjelajah blockchain untuk melakukan pemeriksaan, yang mencakup apakah kontrak bersifat open source, apakah ada banyak transaksi baru-baru ini, dan apakah alamat tersebut memiliki label resmi atau label jahat.
6. Pemrosesan Pasca Transaksi
Setelah transaksi, Anda harus segera memeriksa status on-chain dari transaksi tersebut untuk memastikan bahwa statusnya sesuai dengan yang diharapkan saat tanda tangan. Jika ada kejanggalan, segera lakukan tindakan pengurangan kerugian seperti pemindahan aset dan pencabutan otorisasi.
Manajemen Persetujuan ERC20 juga sangat penting. Kami menyarankan pengguna untuk mengikuti standar berikut untuk melakukan pencegahan risiko:
Minimalkan otorisasi. Saat melakukan otorisasi token, otorisasi jumlah token yang sesuai harus dibatasi sesuai dengan kebutuhan transaksi.
Segera batalkan otorisasi token yang tidak diperlukan. Pengguna dapat masuk ke alat terkait untuk memeriksa status otorisasi alamat yang sesuai dan membatalkan otorisasi dari protokol yang sudah lama tidak berinteraksi.
Strategi Pemisahan Dana
Dalam situasi di mana kesadaran risiko telah ada dan langkah-langkah pencegahan risiko yang memadai telah diambil, juga disarankan untuk melakukan pemisahan dana yang efektif guna mengurangi tingkat kerugian dana dalam keadaan ekstrem. Strategi yang direkomendasikan adalah sebagai berikut:
Gunakan dompet multi-tanda tangan atau dompet dingin untuk menyimpan aset dalam jumlah besar
Gunakan dompet plugin atau dompet EOA sebagai dompet panas untuk interaksi sehari-hari
Secara berkala mengganti alamat dompet panas, untuk mencegah alamat terpapar terus-menerus pada lingkungan berisiko
Jika tidak sengaja mengalami situasi phishing, kami sarankan untuk segera mengambil langkah-langkah berikut untuk mengurangi kerugian:
Gunakan alat terkait untuk membatalkan otorisasi berisiko tinggi
Jika tanda tangan permit sudah ditandatangani tetapi aset belum dipindahkan, Anda dapat segera memulai tanda tangan baru untuk membuat nonce tanda tangan lama menjadi tidak valid.
Jika perlu, cepat transfer sisa aset ke alamat baru atau dompet dingin
Berpartisipasi dengan Aman dalam Kegiatan Airdrop
Airdrop adalah cara umum untuk mempromosikan proyek blockchain, tetapi juga mengandung risiko. Berikut adalah beberapa saran:
Penelitian latar belakang proyek: memastikan proyek memiliki white paper yang jelas, informasi tim yang terbuka, dan reputasi komunitas.
Gunakan alamat khusus: Daftarkan dompet dan email khusus untuk mengisolasi risiko akun utama
Hati-hati mengklik tautan: Dapatkan informasi airdrop hanya melalui saluran resmi, hindari mengklik tautan mencurigakan di platform sosial.
Rekomendasi Pemilihan dan Penggunaan Alat Plugin
Ada banyak konten dalam kode etik keamanan blockchain, mungkin tidak setiap interaksi dapat dilakukan dengan pemeriksaan yang teliti. Memilih plugin yang aman sangat penting, dapat membantu kita dalam membuat penilaian risiko. Berikut adalah saran spesifik:
Gunakan ekstensi tepercaya: Pilih ekstensi browser yang banyak digunakan
Periksa peringkat: Sebelum menginstal plugin baru, periksa peringkat pengguna dan jumlah instalasi
Tetap diperbarui: Perbarui plugin Anda secara berkala untuk mendapatkan fitur keamanan dan perbaikan terbaru
Kesimpulan
Dengan mengikuti panduan perdagangan aman yang disebutkan di atas, pengguna dapat berinteraksi dengan lebih percaya diri dalam ekosistem blockchain yang semakin kompleks, secara efektif meningkatkan kemampuan perlindungan aset. Meskipun teknologi blockchain memiliki keunggulan inti dalam desentralisasi dan transparansi, ini juga berarti pengguna harus secara mandiri menghadapi berbagai risiko termasuk phishing tanda tangan, kebocoran kunci pribadi, dan DApp berbahaya.
Untuk mencapai keamanan yang sebenarnya di blockchain, hanya mengandalkan alat peringatan saja tidak cukup; membangun kesadaran keamanan sistematis dan kebiasaan operasi adalah kunci. Dengan menggunakan dompet keras, menerapkan strategi pemisahan dana, memeriksa otorisasi secara berkala, dan memperbarui plugin sebagai langkah perlindungan, serta menerapkan prinsip "verifikasi ganda, menolak tanda tangan buta, pemisahan dana" dalam operasi transaksi, barulah kita dapat benar-benar "naik ke blockchain dengan aman dan bebas".
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
26 Suka
Hadiah
26
6
Bagikan
Komentar
0/400
SmartContractPhobia
· 07-21 19:58
Ternyata semuanya adalah urusan kita sendiri?!
Lihat AsliBalas0
GweiWatcher
· 07-21 05:18
Otonomi enkripsi itu sangat penting! Pemula jangan sembarangan menandatangani otorisasi!
Lihat AsliBalas0
ForkPrince
· 07-20 23:09
Ketika kamu kembali ke tahun lalu di mana para suckers telah dipermainkan
Lihat AsliBalas0
APY追逐者
· 07-18 20:42
Jangan terlalu banyak menginvestasikan uang, saudara-saudara.
Lihat AsliBalas0
gas_fee_therapy
· 07-18 20:41
Jangan mengulang hal yang sama, ini hanya masalah yang perlu hati-hati.
Lihat AsliBalas0
CryptoCross-TalkClub
· 07-18 20:39
Para pemilik leek, apakah Anda masih bermain dengan tanda buta? Biaya kuliah yang saya bayar dengan menjual ginjal tahun lalu.
Panduan Keamanan Transaksi Web3: Membangun Pertahanan yang Dapat Dikontrol oleh Pengguna
Keamanan Transaksi Web3: Panduan Pengguna
Dengan berkembang pesatnya ekosistem on-chain, transaksi on-chain telah menjadi bagian penting dari operasi sehari-hari pengguna Web3. Aset pengguna sedang berpindah dari platform terpusat ke jaringan terdesentralisasi dengan cepat, dan tren ini juga berarti bahwa tanggung jawab keamanan aset berpindah dari platform ke pengguna itu sendiri. Dalam lingkungan on-chain, pengguna perlu bertanggung jawab atas setiap langkah interaksi, termasuk mengimpor dompet, mengakses DApp, tanda tangan otorisasi, dan memulai transaksi. Setiap operasi yang tidak hati-hati bisa menjadi risiko keamanan, yang dapat menyebabkan kebocoran kunci pribadi, penyalahgunaan otorisasi, atau serangan phishing dan konsekuensi serius lainnya.
Meskipun plugin dompet mainstream dan browser secara bertahap mengintegrasikan fungsi identifikasi phishing dan peringatan risiko, tetapi menghadapi metode serangan yang semakin kompleks, mengandalkan pertahanan pasif dari alat masih sulit untuk sepenuhnya menghindari risiko. Untuk membantu pengguna lebih jelas mengidentifikasi potensi titik risiko dalam transaksi di blockchain, kami berdasarkan pengalaman praktis, menyusun skenario risiko tinggi yang sering terjadi di seluruh proses, dan menggabungkan saran perlindungan dengan keterampilan penggunaan alat, kami merumuskan panduan keamanan transaksi di blockchain yang sistematis, bertujuan untuk membantu setiap pengguna Web3 membangun garis pertahanan yang "dapat dikendalikan sendiri".
Prinsip inti perdagangan yang aman:
Saran Perdagangan Aman
Transaksi yang aman adalah kunci untuk melindungi aset digital. Penelitian menunjukkan bahwa menggunakan dompet yang aman dan verifikasi dua langkah (2FA) dapat secara signifikan mengurangi risiko. Berikut adalah saran spesifik:
Pilih penyedia dompet yang memiliki reputasi baik, seperti dompet perangkat keras atau dompet perangkat lunak terkenal. Dompet perangkat keras memberikan penyimpanan offline, mengurangi risiko serangan online, dan cocok untuk menyimpan aset dalam jumlah besar.
Sebelum mengonfirmasi transaksi, selalu verifikasi alamat penerima, jumlah, dan jaringan untuk menghindari kerugian akibat kesalahan input.
Jika platform perdagangan atau dompet mendukung 2FA, pastikan untuk mengaktifkannya untuk meningkatkan keamanan akun, terutama saat menggunakan dompet panas.
Jangan melakukan transaksi di jaringan Wi-Fi publik untuk mencegah serangan phishing dan serangan man-in-the-middle.
Proses Perdagangan Aman
Proses transaksi DApp yang lengkap terdiri dari beberapa tahapan: instalasi dompet, mengakses DApp, menghubungkan dompet, penandatanganan pesan, penandatanganan transaksi, dan pemrosesan setelah transaksi. Setiap tahapan memiliki risiko keamanan tertentu, berikut akan dijelaskan secara berurutan hal-hal yang perlu diperhatikan dalam praktik.
1. Instal dompet
Saat ini, cara penggunaan DApp yang dominan adalah melalui dompet plugin browser. Saat menginstal dompet plugin Chrome, perlu memastikan untuk mengunduh dan menginstal dari toko aplikasi resmi, untuk menghindari instalasi dari situs pihak ketiga, guna mencegah pemasangan perangkat lunak dompet yang memiliki backdoor. Pengguna yang memiliki kondisi disarankan untuk menggunakan dompet perangkat keras secara bersamaan, untuk lebih meningkatkan keamanan keseluruhan dalam pengelolaan kunci pribadi.
Saat memasang frasa pemulihan kata sandi dompet (biasanya frasa pemulihan yang terdiri dari 12-24 kata), disarankan untuk menyimpannya di tempat offline yang aman, seperti menuliskannya di kertas dan menyimpannya di brankas.
2. Akses DApp
Phishing web adalah metode umum dalam serangan Web3. Kasus tipikal adalah mengajak pengguna mengunjungi aplikasi DApp phishing dengan dalih airdrop, dan setelah pengguna menghubungkan dompetnya, mereka akan dipaksa untuk menandatangani otorisasi token, transaksi transfer, atau tanda tangan otorisasi token, yang mengakibatkan kehilangan aset.
Sebelum mengakses DApp, pastikan keakuratan URL. Saran:
Setelah membuka halaman DApp, perlu juga melakukan pemeriksaan keamanan pada bilah alamat:
3. Hubungkan dompet
Setelah masuk ke DApp, koneksi dompet mungkin akan dipicu secara otomatis atau setelah mengklik Connect. Dompet plugin akan melakukan beberapa pemeriksaan dan menampilkan informasi terkait DApp saat ini.
Jika situs web sering meminta dompet untuk menandatangani pesan atau menandatangani transaksi setelah login, bahkan terus-menerus muncul untuk meminta tanda tangan setelah menolak, maka kemungkinan besar itu adalah situs phishing, perlu ditangani dengan hati-hati.
4. Tanda Tangan Pesan
Dalam situasi ekstrem, seperti ketika penyerang menyerang situs resmi protokol atau mengganti konten halaman melalui serangan seperti peretasan frontend, sulit bagi pengguna biasa untuk menilai keamanan situs web dalam skenario ini.
Pada saat ini, tanda tangan dompet plugin adalah garis pertahanan terakhir bagi pengguna untuk melindungi aset mereka. Selama mereka menolak tanda tangan jahat, mereka dapat memastikan aset mereka tidak mengalami kerugian. Pengguna harus memeriksa dengan cermat konten tanda tangan saat menandatangani pesan dan transaksi apa pun, dan menolak tanda tangan buta.
5. Tanda tangan transaksi
Tanda tangan transaksi digunakan untuk mengotorisasi transaksi blockchain, seperti transfer atau pemanggilan kontrak pintar. Pengguna menandatangani dengan kunci privat, jaringan memverifikasi keabsahan transaksi. Saran keamanan:
Untuk pengguna yang memiliki cadangan teknis tertentu, mereka juga dapat menggunakan beberapa metode pemeriksaan manual yang umum: dengan menyalin alamat kontrak target interaksi ke dalam penjelajah blockchain untuk melakukan pemeriksaan, yang mencakup apakah kontrak bersifat open source, apakah ada banyak transaksi baru-baru ini, dan apakah alamat tersebut memiliki label resmi atau label jahat.
6. Pemrosesan Pasca Transaksi
Setelah transaksi, Anda harus segera memeriksa status on-chain dari transaksi tersebut untuk memastikan bahwa statusnya sesuai dengan yang diharapkan saat tanda tangan. Jika ada kejanggalan, segera lakukan tindakan pengurangan kerugian seperti pemindahan aset dan pencabutan otorisasi.
Manajemen Persetujuan ERC20 juga sangat penting. Kami menyarankan pengguna untuk mengikuti standar berikut untuk melakukan pencegahan risiko:
Strategi Pemisahan Dana
Dalam situasi di mana kesadaran risiko telah ada dan langkah-langkah pencegahan risiko yang memadai telah diambil, juga disarankan untuk melakukan pemisahan dana yang efektif guna mengurangi tingkat kerugian dana dalam keadaan ekstrem. Strategi yang direkomendasikan adalah sebagai berikut:
Jika tidak sengaja mengalami situasi phishing, kami sarankan untuk segera mengambil langkah-langkah berikut untuk mengurangi kerugian:
Berpartisipasi dengan Aman dalam Kegiatan Airdrop
Airdrop adalah cara umum untuk mempromosikan proyek blockchain, tetapi juga mengandung risiko. Berikut adalah beberapa saran:
Rekomendasi Pemilihan dan Penggunaan Alat Plugin
Ada banyak konten dalam kode etik keamanan blockchain, mungkin tidak setiap interaksi dapat dilakukan dengan pemeriksaan yang teliti. Memilih plugin yang aman sangat penting, dapat membantu kita dalam membuat penilaian risiko. Berikut adalah saran spesifik:
Kesimpulan
Dengan mengikuti panduan perdagangan aman yang disebutkan di atas, pengguna dapat berinteraksi dengan lebih percaya diri dalam ekosistem blockchain yang semakin kompleks, secara efektif meningkatkan kemampuan perlindungan aset. Meskipun teknologi blockchain memiliki keunggulan inti dalam desentralisasi dan transparansi, ini juga berarti pengguna harus secara mandiri menghadapi berbagai risiko termasuk phishing tanda tangan, kebocoran kunci pribadi, dan DApp berbahaya.
Untuk mencapai keamanan yang sebenarnya di blockchain, hanya mengandalkan alat peringatan saja tidak cukup; membangun kesadaran keamanan sistematis dan kebiasaan operasi adalah kunci. Dengan menggunakan dompet keras, menerapkan strategi pemisahan dana, memeriksa otorisasi secara berkala, dan memperbarui plugin sebagai langkah perlindungan, serta menerapkan prinsip "verifikasi ganda, menolak tanda tangan buta, pemisahan dana" dalam operasi transaksi, barulah kita dapat benar-benar "naik ke blockchain dengan aman dan bebas".